属性で実現。
継承も利用する。下位が豪華。
順不同パスも利用する。

錠と鍵がある。
錠はページ全てに。
鍵は利用者(またはロール)に。
利用者は錠も持つことになる)

錠はページ毎のものなので、ページに書けることまでは制限できない。
そのため、利用者権限領域を変更できればどんな権限でも与えられるということになる。

権限変更ができれば管理者と同等ということ。
細かく制限を加えたいなら「しないで欲しい」というお願いで。運用の問題にする。

権限錠と鍵なので、この2つを新しく作れば、特定ページ(とその下位)だけを管理する新しい管理者を作れる。

拒否は実装してもいい。
許可とは別のフィールド。でなければ許可・拒否を両方継承できなくなるので。

許可と拒否では拒否のほうが強い。これで継承しつつ下位ページから権限を奪える。

与えたものが持っている権限だけを他の利用者に与えられる…というのは不可。実装が難しい。